이 페이지는 Cloud Translation API를 통해 번역되었습니다.

SentinelOne EDR 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 SentinelOne Cloud Funnel을 사용하여 SentinelOne 로그를 Google Cloud Storage로 내보내는 방법을 설명합니다. SentinelOne은 로그를 Google Cloud Storage로 직접 내보내는 기본 제공 통합을 제공하지 않으므로 Cloud Funnel은 로그를 Cloud Storage로 푸시하는 중간 서비스 역할을 합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
Google Cloud 플랫폼에 대한 액세스 권한 관리
SentinelOne에 대한 액세스 권한

Cloud Funnel이 Cloud Storage에 액세스할 수 있도록 권한 구성

Google Cloud 콘솔에 로그인합니다.
IAM 및 관리자로 이동합니다.
IAM 페이지에서 Cloud Funnel 서비스 계정의 새 IAM 역할을 추가합니다.
- 스토리지 객체 생성자 권한을 할당합니다.
- 선택사항: Cloud Funnel이 버킷에서 객체를 읽어야 하는 경우 스토리지 객체 뷰어를 할당합니다.
Cloud Funnel 서비스 계정에 이러한 권한을 부여합니다.

Cloud Storage 버킷 만들기

Google Cloud 콘솔에 로그인합니다.
스토리지 브라우저로 이동합니다.
버킷 만들기를 클릭합니다.
다음 구성을 제공합니다.
- 버킷 이름: 버킷의 고유한 이름을 선택합니다 (예: sentinelone-logs).
- 스토리지 위치: 버킷이 상주할 리전을 선택합니다 (예: US-West1).
- 스토리지 클래스: 표준 스토리지 클래스를 선택합니다.
만들기를 클릭합니다.

SentinelOne에서 Cloud Funnel 구성

SentinelOne 콘솔에서 설정으로 이동합니다.
Cloud Funnel 옵션 (통합 아래)을 찾습니다.
아직 사용 설정하지 않았다면 Cloud Funnel 사용 설정을 클릭합니다.
사용 설정하면 대상 설정을 구성하라는 메시지가 표시됩니다.
- 대상 선택: 로그를 내보낼 대상으로 Google Cloud Storage를 선택합니다.
- Google Cloud Storage: Google Cloud Storage 사용자 인증 정보를 제공합니다.
- 로그 내보내기 빈도: 로그 내보내기 빈도를 설정합니다 (예: 시간별 또는 일별).

Cloud Funnel Log Export를 구성하는 방법

SentinelOne Console의 Cloud Funnel Configuration 섹션에서 다음을 설정합니다.
- 로그 내보내기 빈도: 로그를 내보낼 빈도를 선택합니다 (예: 매시간 또는 매일).
- 로그 형식: JSON 형식을 선택합니다.
- 버킷 이름: 이전에 만든 Google Cloud Storage 버킷의 이름을 입력합니다 (예: sentinelone-logs).
- 선택사항: 로그 경로 접두사: 버킷 내에서 로그를 정리할 접두사를 지정합니다 (예: sentinelone-logs/).
설정을 구성한 후 저장을 클릭하여 변경사항을 적용합니다.

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

SIEM 설정 > 피드 > 새 피드 추가
콘텐츠 허브 > 콘텐츠 팩 > 시작하기

SentinelOne EDR 피드를 설정하는 방법

SentinelOne 팩을 클릭합니다.
SentinelOne EDR 피드를 찾습니다.
다음 필드의 값을 지정합니다.
- 소스 유형: Google Cloud Storage V2
- 스토리지 버킷 URI: Google Cloud Storage 버킷 소스 URI입니다.
- 소스 삭제 옵션: 전송 후 파일이나 디렉터리를 삭제할지 여부입니다. 소스 삭제 옵션에서 전송된 파일 삭제 옵션을 선택합니다.
- 최대 파일 기간: 지난 일수 내에 수정된 파일을 포함합니다. 기본값은 180일입니다.
- Chronicle 서비스 계정: 서비스 계정을 복사합니다. 이 서비스 계정에 버킷의 데이터를 읽거나 삭제할 수 있는 권한을 Google SecOps에 부여하려면 이 서비스 계정이 필요합니다.

고급 옵션

피드 이름: 피드를 식별하는 미리 채워진 값입니다.
애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.

피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`event.contentHash.sha256`	`target.process.file.sha256`	원시 로그의 `event.contentHash.sha256` 필드에서 추출한 타겟 프로세스 파일의 SHA-256 해시입니다.
`event.decodedContent`	`target.labels`	원시 로그의 `event.decodedContent` 필드에서 추출한 스크립트의 디코딩된 콘텐츠입니다. `Decoded Content` 키가 있는 라벨로 타겟 객체에 추가됩니다.
`event.destinationAddress.address`	`target.ip`	원시 로그의 `event.destinationAddress.address` 필드에서 추출한 대상의 IP 주소입니다.
`event.destinationAddress.port`	`target.port`	원시 로그의 `event.destinationAddress.port` 필드에서 추출한 대상의 포트입니다.
`event.method`	`network.http.method`	원시 로그의 `event.method` 필드에서 추출한 이벤트의 HTTP 메서드입니다.
`event.newValueData`	`target.registry.registry_value_data`	원시 로그의 `event.newValueData` 필드에서 추출한 레지스트리 값의 새 값 데이터입니다.
`event.process.commandLine`	`target.process.command_line`	원시 로그의 `event.process.commandLine` 필드에서 추출한 프로세스의 명령줄입니다.
`event.process.executable.hashes.md5`	`target.process.file.md5`	원시 로그의 `event.process.executable.hashes.md5` 필드에서 추출한 프로세스의 실행 파일의 MD5 해시입니다.
`event.process.executable.hashes.sha1`	`target.process.file.sha1`	원시 로그의 `event.process.executable.hashes.sha1` 필드에서 추출한 프로세스의 실행 파일의 SHA-1 해시입니다.
`event.process.executable.hashes.sha256`	`target.process.file.sha256`	원시 로그의 `event.process.executable.hashes.sha256` 필드에서 추출한 프로세스의 실행 파일의 SHA-256 해시입니다.
`event.process.executable.path`	`target.process.file.full_path`	원시 로그의 `event.process.executable.path` 필드에서 추출한 프로세스 실행 파일의 전체 경로입니다.
`event.process.executable.sizeBytes`	`target.process.file.size`	원시 로그의 `event.process.executable.sizeBytes` 필드에서 추출한 프로세스의 실행 파일 크기입니다.
`event.process.fullPid.pid`	`target.process.pid`	원시 로그의 `event.process.fullPid.pid` 필드에서 추출된 프로세스의 PID입니다.
`event.query`	`network.dns.questions.name`	원시 로그의 `event.query` 필드에서 추출된 DNS 쿼리입니다.
`event.regKey.path`	`target.registry.registry_key`	원시 로그의 `event.regKey.path` 필드에서 추출한 레지스트리 키의 경로입니다.
`event.regValue.key.value`	`target.registry.registry_name`, `target.registry.registry_value_name`	원시 로그의 `event.regValue.key.value` 필드에서 추출한 레지스트리 값의 이름입니다.
`event.regValue.path`	`target.registry.registry_key`	원시 로그의 `event.regValue.path` 필드에서 추출한 레지스트리 값의 경로입니다.
`event.results`	`network.dns.answers.data`	원시 로그의 `event.results` 필드에서 추출된 DNS 답변입니다. 데이터는 '`;`' 구분자를 사용하여 개별 답변으로 분할됩니다.
`event.source.commandLine`	`principal.process.command_line`	원시 로그의 `event.source.commandLine` 필드에서 추출된 소스 프로세스의 명령줄입니다.
`event.source.executable.hashes.md5`	`principal.process.file.md5`	원시 로그의 `event.source.executable.hashes.md5` 필드에서 추출한 소스 프로세스의 실행 파일의 MD5 해시입니다.
`event.source.executable.hashes.sha1`	`principal.process.file.sha1`	원시 로그의 `event.source.executable.hashes.sha1` 필드에서 추출한 소스 프로세스의 실행 파일의 SHA-1 해시입니다.
`event.source.executable.hashes.sha256`	`principal.process.file.sha256`	원시 로그의 `event.source.executable.hashes.sha256` 필드에서 추출한 소스 프로세스의 실행 파일의 SHA-256 해시입니다.
`event.source.executable.path`	`principal.process.file.full_path`	원시 로그의 `event.source.executable.path` 필드에서 추출한 소스 프로세스의 실행 파일의 전체 경로입니다.
`event.source.executable.signature.signed.identity`	`principal.resource.attribute.labels`	원시 로그의 `event.source.executable.signature.signed.identity` 필드에서 추출한 소스 프로세스의 실행 파일의 서명된 ID입니다. `Source Signature Signed Identity` 키가 있는 라벨로 주 리소스 속성 라벨에 추가됩니다.
`event.source.executable.sizeBytes`	`principal.process.file.size`	원시 로그의 `event.source.executable.sizeBytes` 필드에서 추출한 소스 프로세스의 실행 파일 크기입니다.
`event.source.fullPid.pid`	`principal.process.pid`	원시 로그의 `event.source.fullPid.pid` 필드에서 추출한 소스 프로세스의 PID입니다.
`event.source.parent.commandLine`	`principal.process.parent_process.command_line`	원시 로그의 `event.source.parent.commandLine` 필드에서 추출한 소스 상위 프로세스의 명령줄입니다.
`event.source.parent.executable.hashes.md5`	`principal.process.parent_process.file.md5`	원시 로그의 `event.source.parent.executable.hashes.md5` 필드에서 추출한 소스 상위 프로세스의 실행 파일의 MD5 해시입니다.
`event.source.parent.executable.hashes.sha1`	`principal.process.parent_process.file.sha1`	원시 로그의 `event.source.parent.executable.hashes.sha1` 필드에서 추출한 소스 상위 프로세스의 실행 파일의 SHA-1 해시입니다.
`event.source.parent.executable.hashes.sha256`	`principal.process.parent_process.file.sha256`	원본 로그의 `event.source.parent.executable.hashes.sha256` 필드에서 추출한 소스 상위 프로세스의 실행 파일의 SHA-256 해시입니다.
`event.source.parent.executable.signature.signed.identity`	`principal.resource.attribute.labels`	소스 상위 프로세스의 실행 파일의 서명된 ID로, 원시 로그의 `event.source.parent.executable.signature.signed.identity` 필드에서 추출됩니다. `Source Parent Signature Signed Identity` 키가 있는 라벨로 주 리소스 속성 라벨에 추가됩니다.
`event.source.parent.fullPid.pid`	`principal.process.parent_process.pid`	원시 로그의 `event.source.parent.fullPid.pid` 필드에서 추출한 소스 상위 프로세스의 PID입니다.
`event.source.user.name`	`principal.user.userid`	원시 로그의 `event.source.user.name` 필드에서 추출한 소스 프로세스의 사용자 이름입니다.
`event.source.user.sid`	`principal.user.windows_sid`	원시 로그의 `event.source.user.sid` 필드에서 추출한 소스 프로세스 사용자의 Windows SID입니다.
`event.sourceAddress.address`	`principal.ip`	원시 로그의 `event.sourceAddress.address` 필드에서 추출한 소스의 IP 주소입니다.
`event.sourceAddress.port`	`principal.port`	원시 로그의 `event.sourceAddress.port` 필드에서 추출한 소스의 포트입니다.
`event.target.executable.hashes.md5`	`target.process.file.md5`	타겟 프로세스의 실행 파일의 MD5 해시로, 원시 로그의 `event.target.executable.hashes.md5` 필드에서 추출됩니다.
`event.target.executable.hashes.sha1`	`target.process.file.sha1`	원시 로그의 `event.target.executable.hashes.sha1` 필드에서 추출한 타겟 프로세스의 실행 파일의 SHA-1 해시입니다.
`event.target.executable.hashes.sha256`	`target.process.file.sha256`	원시 로그의 `event.target.executable.hashes.sha256` 필드에서 추출한 타겟 프로세스의 실행 파일의 SHA-256 해시입니다.
`event.target.executable.path`	`target.process.file.full_path`	타겟 프로세스의 실행 파일의 전체 경로입니다. 원시 로그의 `event.target.executable.path` 필드에서 추출됩니다.
`event.target.executable.signature.signed.identity`	`target.resource.attribute.labels`	타겟 프로세스의 실행 파일의 서명된 ID로, 원시 로그의 `event.target.executable.signature.signed.identity` 필드에서 추출됩니다. `Target Signature Signed Identity` 키가 있는 라벨로 타겟 리소스 속성 라벨에 추가됩니다.
`event.target.executable.sizeBytes`	`target.process.file.size`	타겟 프로세스의 실행 파일 크기입니다. 원시 로그의 `event.target.executable.sizeBytes` 필드에서 추출됩니다.
`event.target.fullPid.pid`	`target.process.pid`	원시 로그의 `event.target.fullPid.pid` 필드에서 추출한 타겟 프로세스의 PID입니다.
`event.targetFile.path`	`target.file.full_path`	원시 로그의 `event.targetFile.path` 필드에서 추출된 타겟 파일의 전체 경로입니다.
`event.targetFile.signature.signed.identity`	`target.resource.attribute.labels`	원시 로그의 `event.targetFile.signature.signed.identity` 필드에서 추출한 타겟 파일의 서명된 ID입니다. `Target File Signature Signed Identity` 키가 있는 라벨로 타겟 리소스 속성 라벨에 추가됩니다.
`event.trueContext.key.value`		UDM에 매핑되지 않았습니다.
`event.type`	`metadata.description`	원시 로그의 `event.type` 필드에서 추출한 이벤트 유형입니다.
`event.url`	`target.url`	원시 로그의 `event.url` 필드에서 추출한 이벤트의 URL입니다.
`meta.agentVersion`	`metadata.product_version`, `metadata.product_version`	원시 로그의 `meta.agentVersion` 필드에서 추출한 에이전트 버전입니다.
`meta.computerName`	`principal.hostname`, `target.hostname`	원시 로그의 `meta.computerName` 필드에서 추출한 컴퓨터의 호스트 이름입니다.
`meta.osFamily`	`principal.asset.platform_software.platform`, `target.asset.platform_software.platform`	원시 로그의 `meta.osFamily` 필드에서 추출한 컴퓨터의 운영체제 제품군입니다. `linux`의 경우 `LINUX`에, `windows`의 경우 `WINDOWS`에 매핑됩니다.
`meta.osRevision`	`principal.asset.platform_software.platform_version`, `target.asset.platform_software.platform_version`	컴퓨터의 운영체제 버전입니다. 원시 로그의 `meta.osRevision` 필드에서 추출됩니다.
`meta.traceId`	`metadata.product_log_id`	원시 로그의 `meta.traceId` 필드에서 추출한 이벤트의 추적 ID입니다.
`meta.uuid`	`principal.asset.product_object_id`, `target.asset.product_object_id`	원시 로그의 `meta.uuid` 필드에서 추출한 컴퓨터의 UUID입니다.
`metadata_event_type`	`metadata.event_type`	`event.type` 필드를 기반으로 파서 로직에 의해 설정된 이벤트 유형입니다.
`metadata_product_name`	`metadata.product_name`	제품 이름입니다. 파서 로직에 의해 `Singularity XDR`로 설정됩니다.
`metadata_vendor_name`	`metadata.vendor_name`	파서 로직에 의해 `SentinelOne`로 설정된 공급업체의 이름입니다.
`network_application_protocol`	`network.application_protocol`	파서 로직에 의해 DNS 이벤트에 대해 `DNS`로 설정된 네트워크 연결의 애플리케이션 프로토콜입니다.
`network_dns_questions.name`	`network.dns.questions.name`	원시 로그의 `event.query` 필드에서 추출한 DNS 질문의 이름입니다.
`network_direction`	`network.direction`	파서 로직에 의해 발신 연결의 경우 `OUTBOUND`, 수신 연결의 경우 `INBOUND`로 설정되는 네트워크 연결의 방향입니다.
`network_http_method`	`network.http.method`	원시 로그의 `event.method` 필드에서 추출한 이벤트의 HTTP 메서드입니다.
`principal.process.command_line`	`target.process.command_line`	`principal.process.command_line` 필드에서 추출되고 대상 프로세스 명령줄에 매핑된 기본 프로세스의 명령줄입니다.
`principal.process.file.full_path`	`target.process.file.full_path`	`principal.process.file.full_path` 필드에서 추출되고 타겟 프로세스 파일 전체 경로에 매핑된 기본 프로세스 파일의 전체 경로입니다.
`principal.process.file.md5`	`target.process.file.md5`	`principal.process.file.md5` 필드에서 추출되고 타겟 프로세스 파일 MD5에 매핑된 주 프로세스 파일의 MD5 해시입니다.
`principal.process.file.sha1`	`target.process.file.sha1`	`principal.process.file.sha1` 필드에서 추출되고 타겟 프로세스 파일 SHA-1에 매핑된 주 프로세스 파일의 SHA-1 해시입니다.
`principal.process.file.sha256`	`target.process.file.sha256`	`principal.process.file.sha256` 필드에서 추출되고 타겟 프로세스 파일 SHA-256에 매핑된 주 프로세스 파일의 SHA-256 해시입니다.
`principal.process.file.size`	`target.process.file.size`	`principal.process.file.size` 필드에서 추출되고 타겟 프로세스 파일 크기에 매핑된 기본 프로세스의 파일 크기입니다.
`principal.process.pid`	`target.process.pid`	`principal.process.pid` 필드에서 추출되고 타겟 프로세스 PID에 매핑된 기본 프로세스의 PID입니다.
`principal.user.userid`	`target.user.userid`	`principal.user.userid` 필드에서 추출되고 대상 사용자 ID에 매핑된 주체의 사용자 ID입니다.
`principal.user.windows_sid`	`target.user.windows_sid`	`principal.user.windows_sid` 필드에서 추출되어 대상 사용자 Windows SID에 매핑된 주체의 Windows SID입니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.